.png?width=50&name=95a02ab47cca4cbb678427922c962e63%20(1).png)
ChromebookにNetskopeを適用する場合のユースケースについて記載しています。 こんにちは! ネクストモード株式会社 のSaaS事業部hagiです。...
過去にCrowdStrikeを取り上げたブログ記事では、Falconがインストールされた端末において、どのように不正なファイルを読み込んでしまう挙動を安全に発生させ、それを検知するか?というテストを複数手法で行ってきました。
ネクストモードが取り扱っているNetskopeのテストサイトである「Netskope Security Check」のページにアクセスすることで簡単にアラートを発生できるので今回はそれをご紹介します。
Netskope Security Check
CrowdStrikeは本来EDRが主力のサービスであり、クライアントPCがインターネットと通信した先の挙動の可視化などはCASBといわれる、Netskope等のサービスのカバー範囲となりますが、もちろんお互いの機能が重複している領域も存在しています。例えばアクセスしたサイトから不正なマルウェアのような挙動を行うファイルがダウンロードされるケースでは、それぞれの検知のタイミングが異なります。
CASB:ダウンロードの時点で不正なファイルを判別可能
EPP/EDR:ダウンロードおよび実行のタイミングでOSを保護
このような検知タイミングの違いはあるとはいえ、網羅的なセキュリティチェックのツールはCrowdStrikeの検知状態の判別にも使える、というわけです。
https://netskopesecuritycheck.com/
このようなページが出てきます。Run All Testsをクリックすると、網羅的なテストが実行され結果が出力されます。
CrowdStrike側では以下の様に検知がされています。前述の通りCASBとEDPでは本来のカバー領域が異なる部分が多いため、すべてをブロックし検知できるわけではありませんが、基本的なマルウェアの挙動をブロックする等の検知には使えそうですし、ホストPCの全体的なセキュリティチェックには有効です。
なお実行を試み、検知され隔離されたファイルはホストPCではなく、CrowdStrikeマネージメントコンソールからダウンロード可能です。
これは調査に便利な機能ですね。
